MACsec für Cloud Interconnect hilft Ihnen, Traffic auf Cloud Interconnect-Verbindungen zu sichern, insbesondere zwischen Ihrem lokalen Router und den Edge-Routern von Google. MACsec für Cloud Interconnect verwendet den IEEE-Standard 802.1AE Media Access Control Security (MACsec), um Traffic zwischen Ihrem lokalen Router und den Edge-Routern von Google zu verschlüsseln.
MACsec für Cloud Interconnect bietet keine Verschlüsselung bei der Übertragung innerhalb von Google. Für eine höhere Sicherheit empfehlen wir die Verwendung von MACsec mit anderen Netzwerksicherheitsprotokollen wie IP-Sicherheit (IPsec) und Transport Layer Security (TLS). Weitere Informationen zum Verwenden von IPsec zum Schutz Ihres Netzwerktraffics zu Google Cloud finden Sie in der Übersicht über HA VPN über Cloud Interconnect.
MACsec für Cloud Interconnect ist für 10-Gbit/s- und 100-Gbit/s-Netzwerkverbindungen verfügbar. Wenn Sie MACsec für Cloud Interconnect jedoch für 10-Gbit/s-Netzwerkverbindungen bestellen möchten, wenden Sie sich an Ihren Account Manager.
In den folgenden Diagrammen sehen Sie, wie MACsec Traffic verschlüsselt. Abbildung 1 zeigt MACsec, das Traffic auf Dedicated Interconnect verschlüsselt. Abbildung 2 zeigt MACsec, das Traffic auf Partner Interconnect verschlüsselt.
Wenn Sie MACsec auf Partner Interconnect verwenden möchten, wenden Sie sich an Ihren Dienstanbieter, um sicherzustellen, dass Ihr Netzwerk-Traffic über das Netzwerk Ihres Anbieters verschlüsselt wird.
Funktionsweise von MACsec für Cloud Interconnect
MACsec für Cloud Interconnect trägt zum Schutz des Traffics zwischen Ihrem lokalen Router und dem Peering-Edge-Router von Google bei. Sie verwenden die Google Cloud CLI (gcloud-CLI) oder die Google Cloud Console, um einen GCM-AES-256-Verbindungsverknüpfungsschlüssel-Wert und einen Verbindungsverknüpfungsschlüssel-Namen-Wert (CKN) zu generieren. Sie konfigurieren Ihren Router für die Verwendung der CAK- und CKN-Werte, um MACsec zu konfigurieren. Nachdem Sie MACsec auf Ihrem Router und in Cloud Interconnect aktiviert haben, verschlüsselt MACsec Ihren Traffic zwischen Ihrem lokalen Router und dem Peering-Edge-Router von Google.
Unterstützte lokale Router
Sie können lokale Router mit MACsec für Cloud Interconnect verwenden, die die in der folgenden Tabelle aufgeführten MACsec-Spezifikationen unterstützen.
| Einstellung | Wert |
|---|---|
| MACsec-Cipher Suite |
|
| Kryptografischer CAK-Algorithmus | AES_256_CMAC |
| Schlüsselserver-Priorität | 15 |
| Neuverschlüsselungsintervall für sicheren Verknüpfungsschlüssel (Secure Association Key, SAK) | 28800 Sekunden |
| MACsec-Vertraulichkeits-Offset | 0 |
| Fenstergröße | 64 |
| Indikator für Integritätsprüfungswert (ICV) | yes |
| Secure Channel Identifier (SCI) | aktiviert |
MACsec für Cloud Interconnect unterstützt die problemlose Schlüsselrotation für bis zu fünf Schlüssel.
Mehrere von Cisco, Juniper und Arista entwickelte Router erfüllen die Spezifikationen. Wir können keine Router empfehlen. Wir empfehlen Ihnen, sich an Ihren Routeranbieter zu wenden, um das für Sie am besten geeignete Modell zu ermitteln.
Bevor Sie MACsec für Cloud Interconnect verwenden
Folgende Anforderungen müssen erfüllt sein:
Machen Sie sich mit den Grundlagen zu Interconnect-Verbindungen des Netzwerks vertraut, damit Sie Netzwerkverbindungen bestellen und konfigurieren können.
Informieren Sie sich über die Unterschiede zwischen und die Anforderungen für Dedicated Interconnect und Partner Interconnect.
Sie müssen Administratorzugriff auf Ihren lokalen Edge-Router haben.
Prüfen Sie, ob MACsec in Ihrer Colocations-Einrichtung verfügbar ist.
MACsec für Cloud Interconnect-Einrichtungsschritte
Nachdem Sie geprüft haben, ob MACsec für Cloud Interconnect in Ihrer Colocations-Einrichtung verfügbar ist, prüfen Sie, ob Sie bereits eine MACsec-fähige Cloud Interconnect-Verbindung haben. Wenn nicht, bestellen Sie eine MACsec-fähige Cloud Interconnect-Verbindung.
Nachdem Ihre Cloud Interconnect-Verbindung den Test abgeschlossen hat und einsatzbereit ist, können Sie MACsec einrichten, indem Sie vorinstallierte MACsec-Schlüssel erstellen und Ihren lokalen Router konfigurieren. Sie können MACsec dann aktivieren und prüfen, ob es für die Verbindung aktiviert ist und einsatzbereit ist. Schließlich können Sie Ihre MACsec-Verbindung überwachen, um zu prüfen, ob sie ordnungsgemäß funktioniert.
MACsec-Verfügbarkeit
MACsec für Cloud Interconnect wird unabhängig vom Standort bei allen Cloud Interconnect-Verbindungen mit 100 Gbit/s unterstützt.
MACsec für Cloud Interconnect ist nicht in allen Colocations-Einrichtungen für 10-Gbit/s-Netzwerkverbindungen verfügbar. Weitere Informationen zu den in Colocations-Einrichtungen verfügbaren Features finden Sie in der Tabelle "Standorte".
So ermitteln Sie, welche Colocations-Einrichtungen mit 10-Gbit/s-Netzwerkverbindungen MACsec für Cloud Interconnect unterstützen. Die MACsec-Verfügbarkeit für 10-Gbit/s-Netzwerkverbindungen wird nur für Projekte auf der Zulassungsliste angezeigt. Wenn Sie MACsec für Cloud Interconnect für 10-Gbit/s-Netzwerkverbindungen bestellen möchten, müssen Sie sich an Ihren Account Manager wenden.
Console
Rufen Sie in der Google Cloud Console den Cloud Interconnect-Tab Physische Verbindungen auf.
Klicken Sie auf Physische Verbindung einrichten.
Wählen Sie Dedicated Interconnect und dann Weiter aus.
Wählen Sie Neue Dedicated Interconnect-Verbindung bestellen und dann Weiter aus.
Klicken Sie im Feld Google Cloud-Standort auf Auswählen.
Suchen Sie im Bereich Colocations-Einrichtung auswählen die Stadt, in der sich eine Cloud Interconnect-Verbindung befinden soll. Wählen Sie im Feld Geografischer Standort einen geografischen Bereich aus. In der Spalte MACsec-Unterstützung für aktuelles Projekt sehen Sie die Netzwerkgrößen, die für MACsec für Cloud Interconnect verfügbar sind.
gcloud
Authentifizieren Sie sich in der Google Cloud CLI:
gcloud auth loginFühren Sie einen der folgenden Schritte aus, um festzustellen, ob eine Colocations-Einrichtung MACsec für Cloud Interconnect unterstützt:
Prüfen Sie, ob eine bestimmte Colocations-Einrichtung MACsec für Cloud Interconnect unterstützt:
gcloud compute interconnects locations describe COLOCATION_FACILITYErsetzen Sie
COLOCATION_FACILITYdurch den Namen der Colocations-Einrichtung, der in der Tabelle mit den Standorten aufgeführt ist.Die Ausgabe ähnelt dem folgenden Beispiel: MACsec-fähige Verbindungen zeigen Folgendes an:
- Für 10-Gbit/s-Links:
linkType: LINK_TYPE_ETHERNET_10G_LRundavailableFeatures: IF_MACSEC - Für 100-Gbit/s-Links:
linkType: LINK_TYPE_ETHERNET_100G_LR; alle 100-Gbit/s-Links sind MACsec-fähig
address: |- Equinix 47 Bourke Road Alexandria Sydney, New South Wales 2015 Australia availabilityZone: zone1 availableFeatures: - IF_MACSEC availableLinkTypes: - LINK_TYPE_ETHERNET_10G_LR - LINK_TYPE_ETHERNET_100G_LR city: Sydney continent: C_ASIA_PAC creationTimestamp: '2019-12-05T12:56:15.000-08:00' description: Equinix Sydney (SY3) facilityProvider: Equinix facilityProviderFacilityId: SY3 id: '1173' kind: compute#interconnectLocation name: syd-zone1-1605 peeringdbFacilityId: '1605' regionInfos: - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast1 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/australia-southeast2 - region: https://www.googleapis.com/compute/v1/projects/my-project/regions/us-east7 selfLink: https://www.googleapis.com/compute/v1/projects/my-project/global/interconnectLocations/syd-zone1-1605 status: AVAILABLE- Für 10-Gbit/s-Links:
Listen Sie alle Colocations-Einrichtungen auf, die MACsec für Cloud Interconnect auf 10 Gbit/s-Netzwerkverbindungen unterstützen:
gcloud compute interconnects locations list \ --filter "availableFeatures: (IF_MACSEC)"Die Ausgabe sieht in etwa so aus:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>Listen Sie alle Colocations-Einrichtungen mit 100-Gbit/s-Links auf, die standardmäßig MACsec anbieten:
gcloud compute interconnects locations list \ --filter "availableLinkTypes: (LINK_TYPE_ETHERNET_100G_LR)"Die Ausgabe sieht in etwa so aus:
NAME DESCRIPTION FACILITY_PROVIDER ... <stripped> syd-zone1-1605 Equinix Sydney (SY3) Equinix ... <stripped>
MACsec-Unterstützung für vorhandene Cloud Interconnect-Verbindungen
MACsec für Cloud Interconnect wird für vorhandene 100-Gbit/s-Cloud Interconnect-Verbindungen unterstützt.
Wenn Sie eine Verbindung mit 10 Gbit/s haben, prüfen Sie die MACsec-Verfügbarkeit in Ihrer Colocations-Einrichtung. Wenn in Ihrer Colocations-Einrichtung MACsec-Unterstützung verfügbar ist, prüfen Sie, ob Cloud Interconnect MACsec-fähig ist.
Kann ich MACsec aktivieren, wenn meine vorhandene Cloud Interconnect-Verbindung dieses nicht unterstützt?
Wenn Ihre Colocations-Einrichtung MACsec nicht unterstützt, haben Sie folgende Möglichkeiten:
Fordern Sie eine neue Cloud Interconnect-Verbindung an und fordern Sie MACsec als erforderliches Feature an.
Wenden Sie sich an Ihren Google Cloud Account Manager, um die Migration Ihrer vorhandenen Cloud Interconnect-Verbindung zu MACsec-fähigen Ports zu planen.
Die physische Migration von Verbindungen kann aufgrund von Einschränkungen bei der Planung mehrere Wochen dauern. Für Migrationen ist ein Wartungsfenster erforderlich, bei dem Ihre Cloud Interconnect-Verbindungen frei von Produktionstraffic sein müssen.